Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: trojaner??

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 02.06.2005, 00:04   #1
Kaygoesclubbing
 
trojaner?? - Icon21

trojaner??



Hallo,

Als ich jedoch heute morgen meinen PC hoch gefahren hatte gabs ein Problem.

Der PC ist so 10 Sekunden in Windows XP und noch beim Laden der Programme im Autostart...
Dann höre ich so ein Geräusch aus dem Tower, wie als wenn ich formatieren würde (diese typische krr-krr-krr-tschik ), immer und immer wieder!!!
Die orange Diode leuchtet permanent und im task-Manager habe ich 99% Leerlauf... alle 10 Sekunden springt die Systemleistung mal auf 100%...
Der PC ist nicht mehr "ansprechbar", kann also nix öffnen/schliessen... total ausgelastet.

Jetzt bin ich gerade im abgesicherten Modus, hier gibts kein Problem...


was kann das sein???
habe schon hier drauf geprüft:
http://216.239.39.104/translate_c?hl=de&u=http://securityresponse.symantec.com/avcenter/venc/data/w32.nimda.e%40mm.html&prev=/search%3Fq%3Dcsrss.exe%26hl%3Dde%26lr%3D%26client%3Dfirefox-a%26rls%3Dorg.mozilla:de-DEfficial

aber nix...
könnte es der hier sein? (norton hat ihn aber net gefunden..)
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.clt.html
denn meine wuauclt.exe springt ab und zu mal hoch...

oder der??
http://www.sophos.de/virusinfo/analyses/trojcultb.html


hier mal mein hijackthis
Logfile of HijackThis v1.99.1
Scan saved at 00:59:13, on 02.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\LVComsX.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\eigene Programme\___Homepage und Internet___\eMule\emule.exe
C:\Dokumente und Einstellungen\Benjamin\Desktop\DOWNLOAD DSL\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\eigene Programme\___Tools___\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\___SYS~1.SCA\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\eigene Programme\___Homepage und Internet___\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\eigene Programme\___System und Viren...Scanner___\escan\LAUNCH.EXE"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\eigene Programme\___Homepage und Internet___\eMule\emule.exe -AutoStart
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\eigene Programme\___Homepage und Internet___\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\eigene Programme\___Homepage und Internet___\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\eigene Programme\___Homepage und Internet___\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\EIGENE~1\___SYS~1.SCA\escan\TRAYSSER.EXE
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\EIGENE~1\___SYS~1.SCA\escan\avpm.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

oder ist es gar ein ganz anderes Problem???
BITTE HELFT MIR
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.


LG Cidre
S-Mod TB

Geändert von Cidre (02.06.2005 um 13:20 Uhr)

Alt 03.06.2005, 02:24   #2
Kaygoesclubbing
 
trojaner?? - Standard

trojaner??



keiner ne antwort?
__________________


Alt 03.06.2005, 09:56   #3
chaosman
 
trojaner?? - Standard

trojaner??



@Kaygoesclubbing
wündert mich nicht das du probleme hast
C:\eigene Programme\___Homepage und Internet___\eMule\emule.exe

wechsle in den abgesicherten modus und fixe mit HJT
R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [eMuleAutoStart] C:\eigene Programme\___Homepage und Internet___\eMule\emule.exe -AutoStart

neu booten.

überprüfe dein system mit escan

ein HJT logfile aus den normalen modus wäre besser
chaosman
__________________
__________________

Alt 07.06.2005, 18:54   #4
Kaygoesclubbing
 
trojaner?? - Standard

trojaner??



sodala hier mal ein LOG ausm Normal-Mode...

ALLE SYSTEMSTARTELEMENTE SIND AUS...

Nach ca. 5 Minuten nach dem hocfahren hört der Rechner auf dieses Geräusch zu machen, und ich kann hier ins Internet...

Logfile of HijackThis v1.99.1
Scan saved at 19:49:50, on 07.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\EIGENE~1\___SYS~1.SCA\escan\TRAYSSER.EXE
C:\EIGENE~1\___SYS~1.SCA\escan\avpm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\EIGENE~1\___SYS~1.SCA\escan\TRAYICOS.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Dokumente und Einstellungen\Benjamin\Desktop\DOWNLOAD DSL\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\eigene Programme\___Tools___\Acrobat Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\___SYS~1.SCA\SPYBOT~1\SDHelper.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\eigene Programme\___Homepage und Internet___\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\eigene Programme\___Homepage und Internet___\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\eigene Programme\___Homepage und Internet___\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\eigene Programme\___Homepage und Internet___\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - Unknown owner - C:\EIGENE~1\___SYS~1.SCA\escan\TRAYSSER.EXE
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\EIGENE~1\___SYS~1.SCA\escan\avpm.exe
O23 - Service: NTLOAD - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: NTSVCMGR - Unknown owner - c:\windows\system32\dllcache\win32\winlogon.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe



PLEASE CHECK

Alt 07.06.2005, 19:35   #5
chaosman
 
trojaner?? - Standard

trojaner??



@Kaygoesclubbing

downloade LSP-Fix

LSP-FixAnleitung mwtsp.dll
Die 'mwtsp.dll' gehört zu eScan und dürfte für den Mailscan verantwortlich sein.
Löschen kannst du es wie folgt: (LSP-Fix starten -> "I know what I´m doing" anhaken -> Datei C:\Windows\System32\mwtsp.dll in das Fenster "Remove" verschieben -> Finish)

ZitatCidre

poste auch bitte die ergebnisse von escan

chaosman

__________________
Bonus vir semper tiro

Alt 07.06.2005, 20:24   #6
Kaygoesclubbing
 
trojaner?? - Icon27

trojaner??



ESCAN ERGEBNISS AUS DEM ABGESICHTEREN MODUS

Di Jun 07 17:12:48 2005 =>
Di Jun 07 17:12:48 2005 => ***** Analysis Completed. *****
Di Jun 07 17:12:48 2005 =>
Di Jun 07 17:12:48 2005 => Total Number of Files Scanned: 115868
Di Jun 07 17:12:48 2005 => Total Number of Files Infected: 0
Di Jun 07 17:12:48 2005 => Total Number of Files Disinfected: 0
Di Jun 07 17:12:48 2005 => Total Number of Files Renamed: 0
Di Jun 07 17:12:48 2005 => Total Number of Files Deleted: 0
Di Jun 07 17:12:48 2005 => Total Number of Errors: 0
Di Jun 07 17:12:48 2005 => Time Elapsed:: 01:49:56
Di Jun 07 18:32:47 2005 =>
Di Jun 07 18:32:47 2005 => ***** Analysis Cancelled. *****
Di Jun 07 18:32:49 2005 =>
Di Jun 07 18:32:49 2005 => ***** Analysis Cancelled. *****



ok, LSPFix gedownloaded...
mwtsp.dll war schon im remove fenster und ich hab es erfolgreich "removed"

PC neu gestartet und Problem noch immer vorhanden...

Alt 07.06.2005, 20:32   #7
chaosman
 
trojaner?? - Standard

trojaner??



@Kaygoesclubbing
lies bitte mal dein PN

chaosman
__________________
Bonus vir semper tiro

Antwort

Themen zu trojaner??
abgesicherten modus, antivirus, bho, desktop, download, drivers, dsl, einstellungen, excel, explorer, gefunden.., hijack, homepage, icqtoolbar, immer wieder, internet, internet explorer, internet security, kaspersky, logfile, monitor, mozilla firefox, programme, scan, sekunden, settings manager, software, task-manager, tower, trojaner, trojaner?, urlsearchhook, windows, windows messenger, windows xp, wuauclt.exe



Zum Thema trojaner?? - Hallo, Als ich jedoch heute morgen meinen PC hoch gefahren hatte gabs ein Problem. Der PC ist so 10 Sekunden in Windows XP und noch beim Laden der Programme im - trojaner??...
Archiv
Du betrachtest: trojaner?? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.